Tác nhân đe dọa RevengeHotels, còn được biết đến với tên gọi TA558, đã nâng cấp chiến dịch tội phạm mạng kéo dài của mình bằng cách tích hợp trí tuệ nhân tạo (AI) vào chuỗi lây nhiễm, triển khai mã độc VenomRAT mạnh mẽ nhắm vào người dùng Windows. Đây là một mối đe dọa mạng đáng chú ý đối với các tổ chức và cá nhân.

Tổng quan về RevengeHotels (TA558) và sự tiến hóa của chiến dịch

Hoạt động từ năm 2015, nhóm TA558 thường nhắm vào khách du lịch và khách sạn, đánh cắp dữ liệu thẻ thanh toán thông qua email lừa đảo (phishing).

Tuy nhiên, các chiến dịch gần đây cho thấy sự thay đổi đáng kể: các script tải (loader scripts) được tạo bằng AI, cùng với các trình tải xuống JavaScript và PowerShell dạng module, hiện đang hỗ trợ phân phối các implant VenomRAT.

Các implant này mang lại khả năng ẩn mình, duy trì quyền truy cập (persistence) và kiểm soát nâng cao.

Phương thức lây nhiễm và kỹ thuật khai thác

Khởi đầu qua Phishing và lừa đảo

Làn sóng tấn công mới nhất bắt đầu bằng các email lừa đảo được thiết kế riêng, tập trung vào các chủ đề như hóa đơn quá hạn hoặc đơn xin việc giả mạo.

Các email này được gửi đến địa chỉ email của bộ phận đặt phòng và nhân sự của khách sạn.

Người nhận nhấp vào liên kết nhúng sẽ được chuyển hướng đến các trang web do kẻ tấn công kiểm soát, bắt chước các cổng lưu trữ tài liệu hợp pháp.

Những trang web này tự động tải xuống một tệp WScript JS—có tên theo định dạng Fat{NUMBER}.js—vào thư mục tạm thời của nạn nhân.

Loader scripts được tạo bởi AI

Phân tích các script tải này cho thấy chúng được viết rất chi tiết, có nhiều bình luận và cấu trúc module rõ ràng, gợi ý rằng chúng được tạo ra bởi các mô hình ngôn ngữ lớn (LLMs). Theo Securelist, điều này đánh dấu một sự thay đổi so với các mẫu trước đây thường dựa vào mã hóa phức tạp (obfuscation).

Không giống như các mẫu cũ, các script được tạo bằng AI này có cấu trúc sạch sẽ, bao gồm các chỗ giữ chỗ cho các biến động và có các bình luận mô tả rõ ràng cho từng chức năng.

Triển khai PowerShell Downloader và VenomRAT

Khi được thực thi, loader sẽ giải mã và ghi một tệp PowerShell—có tên SGDoHBZQWpLKXCAoTHWdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1—vào hệ thống trước khi gọi nó trong bộ nhớ ba lần.

Quá trình này được thiết kế để né tránh sự phát hiện của các công cụ bảo mật.

Trình tải xuống PowerShell sau đó tải về hai tệp được mã hóa Base64: venumentrada.txt (entry loader) và runpe.txt (stub thực thi trong bộ nhớ).

Venumentrada.txt tái tạo một loader trong bộ nhớ được mã hóa mạnh mẽ, sau đó thực thi trực tiếp implant VenomRAT mà không ghi payload xuống đĩa.

Khả năng và hoạt động của mã độc VenomRAT

Tính năng kỹ thuật của VenomRAT

VenomRAT là một bản nâng cấp tiên tiến của QuasarRAT mã nguồn mở bị rò rỉ vào năm 2020. Nó cung cấp nhiều khả năng:

• Hidden VNC (HVNC): Điều khiển máy tính từ xa ẩn danh.
• Reverse Proxy: Tạo đường hầm kết nối ngược.
• File Grabbing: Đánh cắp tệp tin.
• UAC Exploitation: Khai thác lỗ hổng kiểm soát tài khoản người dùng.
• Mã hóa mạnh mẽ: Sử dụng AES-128 với xác minh HMAC-SHA256 cho các luồng dữ liệu.

Cơ chế lẩn tránh và duy trì quyền kiểm soát

Khi khởi chạy, VenomRAT gọi chức năng EnableProtection để tăng cường mô tả bảo mật của tiến trình, loại bỏ các mục DACL có thể cho phép chấm dứt tiến trình.

Đồng thời, một luồng giám sát lặp lại mỗi 50 mili giây để xác định và ngay lập tức chấm dứt các tiến trình liên quan đến bảo mật, như trình gỡ lỗi (debuggers), trình phân tích .NET và các công cụ điều tra pháp y, tăng cường khả năng chống lại việc bị tiêu diệt.

Để duy trì quyền truy cập (persistence), VenomRAT tạo một script VBS ghi vào khóa HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce và lặp lại để khởi chạy lại RAT nếu nó bị chấm dứt.

Trên các hệ thống có quyền quản trị, nó nâng cấp lên quyền SeDebugPrivilege và đánh dấu mình là một tiến trình quan trọng, ngăn chặn các nỗ lực chấm dứt do người dùng khởi xướng.

Giao tiếp C2 và vượt tường lửa để xâm nhập mạng

VenomRAT thiết lập một kênh liên lạc mạnh mẽ với máy chủ điều khiển và chỉ huy (C2) của nó. Các gói dữ liệu đi được tuần tự hóa, nén LZMA và mã hóa AES-128 trước khi truyền đi.

Các lệnh đến được giải mã và giải nén theo chiều ngược lại. Để vượt qua các hạn chế mạng, VenomRAT cài đặt và cấu hình các đường hầm ngrok, cho phép các giao thức máy tính từ xa—RDP và VNC—vượt qua tường lửa dưới các tên miền phụ trông có vẻ hợp pháp.

Lây lan và xóa dấu vết

VenomRAT cũng lây lan qua các phương tiện lưu trữ di động bằng cách sao chép chính nó dưới dạng “My Pictures.exe” vào bất kỳ ổ USB nào được phát hiện.

Nó loại bỏ các luồng Zone.Identifier khỏi tệp thực thi của mình, ngăn chặn các biện pháp phòng thủ Mark-of-the-Web, và xóa nhật ký sự kiện Windows để xóa dấu vết pháp y, giúp kẻ tấn công có được gần như một sự xóa sổ dấu vết hoàn toàn.

Phạm vi địa lý và sự tinh vi của các cuộc tấn công

Các hoạt động mới nhất của RevengeHotels tập trung vào các khách sạn ở Brazil nhưng đã mở rộng sang các thị trường nói tiếng Tây Ban Nha, với các email lừa đảo được soạn bằng tiếng Tây Ban Nha để nhắm mục tiêu vào các địa điểm ở Mexico, Chile và Argentina.

Các tên miền mang chủ đề tiếng Bồ Đào Nha lưu trữ các payload xoay vòng thường xuyên, làm phức tạp các nỗ lực đưa vào danh sách đen (blacklisting).

Việc sử dụng nhất quán các mồi nhử hóa đơn và HR, các script tải được tạo bằng AI, và các implant VenomRAT tiên tiến nhấn mạnh khả năng phát triển của RevengeHotels.

Biện pháp phòng ngừa và bảo vệ hệ thống nhằm tăng cường an ninh mạng

Các tổ chức trong ngành khách sạn cần nâng cao nhận thức về lừa đảo (phishing awareness), triển khai các công cụ phát hiện dựa trên hành vi và thực thi các chính sách chặn script nghiêm ngặt.

Các giải pháp bảo mật điểm cuối (endpoint solutions) phải kiểm tra việc thực thi trong bộ nhớ và giám sát các tiến trình ngrok trái phép.

Khi AI tiếp tục giảm bớt rào cản cho việc phát triển mã độc, các tác nhân đe dọa như RevengeHotels sẽ tinh chỉnh và đẩy nhanh các kỹ thuật, chiến thuật và quy trình (TTPs) của chúng, khiến việc phòng thủ chủ động và phản ứng sự cố nhanh chóng trở nên quan trọng hơn bao giờ hết.

Chỉ số thỏa hiệp (IOCs)

Dựa trên thông tin phân tích, các chỉ số thỏa hiệp chính bao gồm:

• Tên tệp JavaScript Loader:Fat{NUMBER}.js (ví dụ: Fat123.js)
• Tên tệp PowerShell Downloader:SGDoHBZQWpLKXCAoTHWdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
• Tệp Payload được tải về:venumentrada.txt (entry loader cho VenomRAT), runpe.txt (in-memory execution stub)
• Tên tệp lây lan qua USB:My Pictures.exe
• Khu vực mục tiêu: Brazil, Mexico, Chile, Argentina (đặc biệt là ngành khách sạn)
• Kỹ thuật vượt tường lửa: Sử dụng ngrok tunnels
• Mục tiêu registry cho Persistence:HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce